チャレンジレスポンスで思ったんですが、
攻撃者が先ずターゲットの認証のレスポンス(OTP1)を盗聴します
Hash(x) = OTP1
となるxをブルートフォースで探しておきます(それをOTP2とします)
さらに張り込みを続け、次の認証の際に、ターゲットが1段階目の認証を突破後、ターゲットを偽装してOTP2を送れば認証突破できてしまうのでは?

TCP通信ならIPアドレス詐称は無理でしょうけど、それ以外の通信なら偽装できるのでは?